Трохи більше року після розгортання проекту, щоб зірвати потужні подвиги АНБ що просочилося в Інтернеті, Сотні тисяч комп’ютерів залишаються невиправленими та вразливими.
Спочатку їх використовували для розповсюдження програм-вимог, потім відбулися атаки на видобуток криптовалют.
Тепер Дослідники кажуть, що хакери (або зломщики) використовують інструменти фільтрування для створення ще більшої шкідливої проксі-мережі. Тому хакери використовують засоби NSA для викрадення комп’ютерів.
Останні відкриття
Нові відкриття охоронної фірми "Akamai" говорять про те, що вразливість UPnProxy зловживає загальним універсальним мережевим протоколом Plug and Play.
І що тепер ви можете націлити нероз’єднані комп’ютери за брандмауером маршрутизатора.
Зловмисники традиційно використовують UPnProxy для перепризначення параметрів переадресації портів на ураженому маршрутизаторі.
Таким чином, вони дозволили маскувати та зловмисну маршрутизацію трафіку. Таким чином, це може бути використано для запуску атак відмови в обслуговуванні або поширення шкідливих програм або спаму.
У більшості випадків на комп’ютери в мережі це не впливає, оскільки вони були захищені правилами перекладу мережевих адрес маршрутизатора (NAT).
Але зараз, Акамаї каже, що загарбники використовують більш потужні експлойти, щоб прорвати маршрутизатор і заразити окремі комп'ютери в мережі.
Це дає завойовникам набагато більшу кількість пристроїв, до яких можна дістатись. Крім того, це робить шкідливу мережу набагато сильнішою.
"Хоча прикро бачити, як зловмисники використовують UPnProxy і активно використовують його для нападу на системи, які раніше були захищені за NAT, це врешті-решт станеться", - сказав Чад Моряк з Акамаї, який написав звіт.
Зловмисники використовують два типи ін'єкційних подвигів:
З яких перший EternalBlue, це задні двері, розроблені Агентством національної безпеки атакувати комп'ютери з встановленою Windows.
У той час як у випадку користувачів Linux існує експлойт, який називається EternalRed, в якому зловмисники отримують незалежний доступ за допомогою протоколу Samba.
Про EternalRed
Важливо знати, що лСамба версії 3.5.0 була вразливою до цієї вади віддаленого виконання коду, дозволяючи зловмисному клієнту завантажувати спільну бібліотеку до спільного доступу, а потім завантажте сервер і запустіть його.
Зловмисник може отримати доступ до машини Linux і підвищити привілеї, використовуючи локальну вразливість, щоб отримати root-доступ та встановити можливу вимога-програму futurабо, аналогічно цій копії програмного забезпечення WannaCry для Linux.
Тоді як UPnProxy змінює призначення порту на вразливому маршрутизаторі. Вічне сімейство звертається до портів послуг, що використовуються SMB, загальним мережевим протоколом, що використовується більшістю комп'ютерів.
Разом Akamai називає нову атаку "EternalSilence" різко розширюючи поширення проксі-мережі для багатьох більш вразливих пристроїв.
Тисячі заражених комп’ютерів
Akamai каже, що понад 45.000 XNUMX пристроїв вже перебувають під контролем величезної мережі. Потенційно ця кількість може охоплювати більше мільйона комп’ютерів.
Тут метою є не цілеспрямована атака ", а" Це спроба скористатися перевіреними подвигами, запустивши велику мережу на відносно невеликому просторі, в надії підібрати кілька раніше недоступних пристроїв.
На жаль, вічні вказівки важко виявити, що ускладнює адміністраторам знати, чи вони заражені.
Тим не менш, виправлення для EternalRed та EternalBlue були випущені трохи більше року тому, але мільйони пристроїв залишаються недоступними та вразливими.
Кількість вразливих пристроїв зменшується. Однак Моряк заявив, що нові функції UPnProxy "можуть бути останнім зусиллям щодо використання відомих експлойтів проти набору можливо виправлених і раніше недоступних машин".